Zweifaktorauthentifizierung (2FA)

Was 2FA ist und wie sie funktioniert

Ohne Kontrolle über den Zugang zu Cloudanwendungen besteht für Unternehmen die Gefahr von Sicherheitsverstößen. Die Angreifer sind gnadenlos. Sie jagen, phishen, betrügen und imitieren alle Benutzer, auch solche mit besonderen Zugriffsrechten, um Ihr Unternehmen infiltrieren zu können. Wenn sie einmal eingedrungen sind, suchen sie nach Möglichkeiten, noch mehr Zugriffsrechte zu erhalten und Ressourcen für sich zu erlangen. Die Implementierung von 2FA-Softwarelösungen bei Benutzern vereitelt Angriffe und schützt Unternehmensdaten.

Was ist Zweifaktorauthentifizierung?

Produkte für Zweifaktorauthentifizierung bieten eine zusätzliche Schutzebene. Normalerweise sollen Benutzer ihre Identität nachweisen, indem sie einfache Zugangsdaten wie E-Mail-Adresse und Passwort eingeben. Ein zweiter Faktor (2F) bietet eine zusätzliche Ebene von Schutz vor einem nicht autorisierten Zugriff, indem der Benutzer aufgefordert wird, ein weiteres Element der Authentication zu übermitteln, wie bspw. ein physischer Token (z. B. eine Karte) oder auch ein zusätzliches Geheimnis, das nur dem Benutzer selbst bekannt ist.

Folgende Optionen zur Authentication werden von den US-Bundesbehörden anerkannt:

  • Etwas, das nur Sie wissen - Passwort oder PIN-Code
  • Etwas, das Sie haben - Smart Card, USB-Schlüssel, ein PKI-Zertifikat (Public Key Infrastructure) oder ein Mobiltelefon
  • Etwas, das Teil von Ihnen ist - biometrische Merkmale wie z. B. Fingerabdruck oder Stimmmuster

UNTERSTÜTZE AUTH-FAKTOREN

  • • Browser-PKI-Zertifikate
  • • RSA SecurID
  • • Symantec VIP Access
  • • Yubico Yubikey (USB-key)

Warum ist 2FA sicherer?

Ein zusätzlicher Authentifizierungsfaktor verhindert, dass sich jemand an Ihrem Konto anmelden kann, sogar wenn die Person Ihr Passwort kennt. Auch wenn Sie denken, dass Ihr Passwort sicher ist, kann es bereits auf verschiedene Art und Weise preisgegeben worden sein: Die meisten Menschen wählen ein Passwort, das leicht zu merken ist, und verwenden es für verschiedene Anwendungen. Wer Sie gut kennt, kann daher leicht dahinterkommen, dass es der Name eines Haustieres, ein Geburtsort oder ein wichtiges Datum ist. Jemand, der Ihnen über die Schulter blickt, kann Ihr Passwort entziffern, und schließlich gibt es eine noch ausgefeiltere Technik, die Ihre Anmeldedaten in Gefahr bringen kann: ein Key Logger, der sämtliche Tastaturbewegungen aufzeichnet und an eine dritte Partei weiterleitet.

Wenn die Authentifizierung ein Passwort und dazu bspw. ein USB-Token mit einem digitalen Passwort darauf erfordert, müsste ein Krimineller sowohl Ihre Zugangsdaten kennen als auch im Besitz Ihres USB-Token sein, um sich bei Ihrem Konto anmelden zu können. Ohne beides zu haben, würde jeder unberechtigte Zugang fehlschlagen und außerdem ein Sicherheitsereignis auslösen, das den Administrator über einen verdächtigen Anmeldeversuch in Kenntnis setzt.

Durch die Kombination zusätzlicher Faktoren lässt sich eine Multi-Faktor-Authentifizierung (MFA) erzielen, die die Authentifizierung noch sicherer macht. Sie können in Ihrem Browser ein PKI-Zertifikat hinzufügen oder den Benutzer zur Eingabe zusätzlicher geheimer Antworten auffordern. Oder Sie verwenden OneLogin Desktop, um die Sicherheit mittels eines auf dem Laptop gespeicherten Zertifikats zu steigern, das einen zweiten Authentifizierungsfaktor in Form eines vertrauten Geräts bietet und den Zugang zu allen Anwendungen um eine Multi-Faktor-Authentifizierung erweitert.

Für noch mehr Sicherheit können Sie Adaptive Authentication in Erwägung ziehen. Hierbei wird maschinelles Lernen genutzt, um eine zusätzliche Informationsebene hinzuzufügen und die Identitäten zu schützen.

Starke Authentifizierungsfaktoren

Es gibt eine Vielzahl von zweiten Authentifizierungsfaktoren, die für 2FA zur Sicherung des Anwendungszugangs verwendet werden können. Hier einige Beispiele::

Einmalpasswort (One-time Password, OTP) – ein unverkennbares Passwort, das nur einmal verwendet werden kann. Dabei handelt es sich normalerweise um eine kurze Zahlenfolge auf Grundlage eines Geheimnisses, das auf einem physischen Gerät wie z. B. einem USB-Token oder einem Smartphone generiert wird. Bei der Authentifizierung wird dieses Einmalpasswort mithilfe des OTP-Dienstes des Anbieters in der Cloud abgeglichen. Selbst wenn es jemandem gelingt, Ihr Passwort zu entwenden, kann sich ohne das OTP niemand erfolgreich anmelden. OneLogin bietet kostenlose OTP-Funktionen im Rahmen unserer Lösung – für mehr Sicherheit, insbesondere bei Zugriff von außerhalb.

Zeitbasierte PIN – eine Ziffernfolge, die innerhalb von kurzer Zeit eingegeben werden muss, üblicherweise 30–60 Sekunden. Diese PIN kann von einer Softwareanwendung oder einem Hardware-Gerät mit einer sehr präzisen Uhr generiert werden. Die Sicherheit ergibt sich aus der Tatsache, dass die PIN nur für einen kurzen Zeitraum gültig ist.

Digitales (PKI)-Zertifikat – ein digitales Zertifikat, das von einer vertrauten Zertifizierungsstelle stammt, wird auf dem Gerät oder im Browser des Benutzers installiert. Der Identitätsprovider kann prüfen, ob gültige Zertifikate vorliegen und diese jederzeit zurücknehmen. Nur ein Browser mit einem gültigen Zertifikat darf sich anmelden.

Authentifizierungsablauf

Die Zweifaktorauthentifizierung von OneLogin auf Cloudbasis funktioniert auf ganz einfache Art und Weise. Zuerst wird der Benutzer mit Benutzername und Passwort authentifiziert. OneLogin überprüft den Benutzer, und wenn zusätzliche Authentifizierungsfaktoren erforderlich sind, wird der Benutzer auf der Anmeldungsseite dazu aufgefordert, diese einzugeben.

Danach muss der Benutzer nur noch die YubiKey-Schaltfläche anklicken, und das erzeugte Einmalpasswort wird direkt an das Eingabefeld im Browser geschickt. Hierdurch entfällt das lästige und fehleranfällige Eintippen. Dann validiert OneLogin, dass a) der YubiKey dem Benutzer gehört, der auf das Konto zugreift, und b) der eingegebene Code zuvor noch nicht benutzt wurde.

Yubicos schlanker USB-Schlüssel funktioniert mit Windows, Mac und Linux ohne zusätzliche Client-Software. Durch einen Druck auf den Knopf auf dem Schlüssel wird ein einmaliges Einmalpasswort generiert und automatisch in den Browser eingegeben.

Symantec VIP Access wird von Hunderten von Mobiltelefonen unterstützt, darunter iPhone, Android, Windows Mobile und Blackberry. Alle 30 Sekunden wird eine neue sechsstellige PIN generiert, die nur eine Minute lang gültig ist.

Sichern Sie all Ihre Apps, Benutzer und Geräte